Hur länge får man spara personuppgifter enligt GDPR?

maj 30, 2026, Jesper Thornberg

Många organisationer arbetar utifrån devisen att mer lagrad data alltid är bättre. Det är en logisk men felaktig slutsats. Frågan om hur länge får man spara personuppgifter handlar inte om vad som är tekniskt möjligt, utan om vad som är rättsligt tillåtet. GDPR ställer ett tydligt krav: personuppgifter får aldrig lagras längre än vad ändamålet kräver. Det kallas lagringsminimering och är en av förordningens grundläggande principer. Den här artikeln ger dig konkreta svar, praktiska riktlinjer för vanliga datatyper och ett ramverk för hur ni bygger gallringsrutiner som faktiskt håller.

Innehållsförteckning

Viktiga slutsatser

Punkt Detaljer
Lagringsminimering är ett krav GDPR förbjuder lagring längre än nödvändigt; ändamålet styr alltid lagringstiden.
Dokumentation är obligatorisk Varje behandling ska ha en definierad lagringstid kopplad till sitt syfte i behandlingsregistret.
Vanliga datatyper har riktmärken CV och ansökningar sparas upp till 24 månader; kameramaterial normalt ca 3 dygn.
Gallringsrutiner minskar risken Proaktiv gallring minskar exponeringen vid dataintrång och visar regelefterlevnad.
Intresseavvägning ger ingen frihet En rättslig grund möjliggör inte obegränsad lagring utan att motivering och tidsram dokumenteras.

Hur länge får man spara personuppgifter: grundprincipen

Lagringsminimering är den juridiska term som beskriver förbudet mot att behålla personuppgifter längre än nödvändigt. Principen regleras i artikel 5.1 e i GDPR och innebär att uppgifterna ska raderas eller anonymiseras så snart det ursprungliga ändamålet med behandlingen är uppfyllt. Det är inte upp till organisationen att fritt bestämma hur länge data sparas. Ändamålet är det styrande dokumentet.

En central missuppfattning är att en giltig rättslig grund, exempelvis berättigat intresse eller avtal, automatiskt tillåter lagring utan tidsgräns. Så är det inte. Rättslig grund och lagringstid_i_gdpr.html) är två separata frågor. Grunden motiverar att behandlingen får ske. Lagringstiden bestämmer hur länge den får pågå. Båda måste vara dokumenterade och motiverade.

Det finns också en distinktion värd att hålla isär: lagringsminimering och gallringskrav. Lagringsminimering är GDPR:s krav på att inte spara längre än nödvändigt. Gallring är den praktiska åtgärden att radera eller anonymisera. Båda hänger ihop, men i offentliga verksamheter tillkommer arkivlagstiftningens krav. Offentlig sektor och GDPR innebär att arkivpliktig data kan behöva bevaras längre, men den måste då särskiljas tydligt från övrig personuppgiftsbehandling.

Begränsning av åtkomst är ett komplement till gallring. Om data inte kan raderas omedelbart, exempelvis på grund av pågående rättsprocess, bör åtkomsten begränsas till ett minimum tills radering sker. Dokumenterade rutiner för vem som har åtkomst och under vilka omständigheter är lika viktiga som själva raderingsbeslutet.

Proffstips: Koppla alltid lagringstiden direkt till ändamålet i ert behandlingsregister. Skriv inte bara “kunduppgifter sparas 3 år” utan motivera varför just 3 år är nödvändigt för det specifika syftet.

Praktiska riktlinjer för vanliga datatyper

Det är en sak att känna till principen om lagringsminimering. Det är en annan sak att veta vad den innebär för de personuppgifter din verksamhet faktiskt hanterar varje dag. Nedan ges konkreta riktmärken för de vanligaste datatyperna i en svensk företagsmiljö.

Vanliga datatyper och deras lagringstider

Datatyp Typisk lagringstid Kommentar
Kunduppgifter Avtalstid + 3 år Bokföringslagen kräver 7 år för räkenskapsinformation
CV och ansökningar Upp till 24 månader Branschpraxis; kräver samtycke för längre tid
Supportärenden 12 månader efter avslutat ärende Beror på ärendets komplexitet och uppföljningsbehov
Kameramaterial Ca 3 dygn Längre lagring kräver tydlig motivering
Personuppgifter i mejl Beror på mejlets syfte Ingen generell lagringstid; gallras när ändamålet uppfyllts

  1. Kunduppgifter sparas under avtalstiden och en rimlig period därefter för att hantera reklamationer och tvister. Bokföringslagen kräver att räkenskapsinformation bevaras i sju år, men det gäller den finansiella informationen, inte alla personuppgifter kopplade till kunden. Uppgifter som enbart användes för marknadsföring ska gallras så snart den kommersiella relationen avslutas.

  2. CV och ansökningshandlingar kan sparas i upp till 24 månader efter rekrytering om kandidaten lämnat samtycke eller om det finns ett legitimt intresse kopplat till framtida rekrytering. Utan samtycke eller tydligt motiverat berättigat intresse bör gallring ske direkt efter att rekryteringsprocessen avslutats. Mer om det hittar du i Trustviews guide om lagringstider inom HR.

  3. Supportärenden innehåller ofta mer personuppgifter än man tänker på: namn, e-postadress, teknisk information och ibland känsligare uppgifter. En rimlig tumregel är lagring i 12 månader efter avslutat ärende för att möjliggöra uppföljning. Behövs längre tid måste det motiveras skriftligt.

  4. Kameramaterial ska enligt IMY:s vägledning normalt lagras i ca 3 dygn. Vill ni behålla materialet längre, exempelvis vid misstanke om brott, krävs en tydlig och dokumenterad motivering. Ju längre lagringstid, desto starkare motivering krävs.

  5. Personuppgifter i mejl är en av de mest förbisedda riskerna. Organisationer lagrar ofta mejlkonversationer i år utan att reflektera över att de innehåller personuppgifter. Det finns ingen generell lagringstid för mejl. Varje mejlkategori måste bedömas utifrån sitt ändamål och gallras när syftet är uppfyllt.

Proffstips: Gå igenom era mest dataintensiva processer, exempelvis rekrytering, kundsupport och marknadsföring, och fastställ en specifik lagringstid för varje. Dokumentera den i behandlingsregistret och schemalägg en automatiserad påminnelse för gallring.

Varför organisationer sparar data för länge

Trots tydliga regler är det vanligt att organisationer lagrar personuppgifter långt utöver vad GDPR tillåter. Det handlar sällan om illvilja. Det handlar om missförstånd, bristande rutiner och en kultur där “mer data” upplevs som tryggare.

Några av de vanligaste orsakerna:

  • Felaktig tolkning av berättigat intresse. Många tror att en giltig rättslig grund innebär att data får sparas obegränsat. Berättigat intresse och lagringstid_i_gdpr.html) är separata bedömningar. Intresseavvägningen motiverar behandlingen, inte dess varaktighet.
  • Avsaknad av gallringsrutiner. Utan definierade tidsintervall och ansvariga personer blir gallring något som aldrig sker. Data ackumuleras tyst i system, e-postservrar och delade mappar.
  • Rädsla för att radera för tidigt. Organisationer som är oroliga för framtida tvister eller revisioner väljer att spara allt, länge. Det är en förståelig impuls men en felaktig strategi. GDPR straffar överlagring, inte korrekt gallring.
  • Brist på koppling mellan syfte och data. När det inte finns ett tydligt dokumenterat syfte per behandling är det omöjligt att avgöra när lagringstiden löpt ut. Resultatet är att ingenting raderas.

“Det är inte tillräckligt att hänvisa till berättigat intresse för att motivera fortsatt lagring. Organisationen måste kunna visa att lagringstiden är rimlig och kopplad till ett specifikt ändamål.”

Konsekvenserna av att spara personuppgifter längre än tillåtet är inte bara böter från IMY. En dataintrångshändelse drabbar hårdare om organisationen har mer data lagrad än nödvändigt. Förtroendetappet mot kunder och medarbetare kan vara svårare att reparera än den ekonomiska sanktionen.

Bygga effektiva gallringsrutiner

Att förstå principen om lagringsminimering är steg ett. Att faktiskt bygga en organisation som lever efter den kräver struktur, dokumentation och återkommande kontroll.

  1. Definiera lagringstid per behandling i behandlingsregistret. Varje rad i ert behandlingsregister ska innehålla en definierad lagringstid kopplad till ändamålet. Skriv inte “tillsvidare” eller “enligt lag”. Ange specifik tid och juridisk motivering.

  2. Fastställ skriftliga gallringsbeslut med tydlig ansvarsfördelning. Dokumentera vem som är ansvarig för gallring av varje datatyp. Utan ett namn och ett datum sker ingenting. Gallringsbeslut ska fattas av en ansvarig person, inte förbli en abstrakt policy.

  3. Schemalägg löpande gallring. Gallring bör inte vara en årlig händelse. Bygg in automatiserade påminnelser eller periodiska kontroller, exempelvis kvartalsvis, för de datatyper som är mest volymintensiva. En GDPR-kontrollista kan vara ett praktiskt stöd i det arbetet.

  4. Granska och uppdatera rutinerna regelbundet. Affärsbehov förändras, lagstiftning uppdateras och nya system tillkommer. Gallringsrutiner som skrevs för tre år sedan kanske inte längre speglar hur organisationen faktiskt behandlar data i dag.

  5. Utbilda personalen. Lagringsminimering är inte bara en fråga för dataskyddsansvariga. Alla medarbetare som hanterar personuppgifter behöver förstå att de inte ska spara data “ifall det behövs”. Kontinuerlig utbildning och gallringsrutiner minskar risken för oavsiktlig överlagring avsevärt.

Jämförelse: utan och med strukturerade gallringsrutiner

Aspekt Utan gallringsrutiner Med gallringsrutiner
Lagringstid Odefinierad, data sparas tills diskutrymmet tar slut Definierad per behandling och dokumenterad
Ansvar Oklart vem som ansvarar för radering Namngiven person med specifikt mandat
GDPR-efterlevnad Hög risk för brott mot lagringsminimering Dokumenterbar och granskningsbar efterlevnad
Risk vid dataintrång Maximal exponering av onödig data Reducerad exponering tack vare proaktiv gallring

En infographic som visar skillnaderna mellan organiserad och oorganiserad gallring

Man sitter och bläddrar bland gamla mappar på kontoret

Proffstips: Låt inte gallring vara ett manuellt projekt. Koppla era gallringsrutiner direkt till era systemadministrationsrutiner och sätt tekniska regler i systemen där det är möjligt.

Det viktigaste att ta med sig

Lagringsminimering är inte ett tekniskt detaljakrav. Det är en av GDPR:s absolut tydligaste principer, och den kräver aktiva beslut av er organisation.

  • Personuppgifter sparas aldrig längre än vad ändamålet kräver. Det gäller oavsett vilken rättslig grund ni använder.
  • Sambandet mellan ändamål, lagringstid och gallring måste vara dokumenterat och granskningsbart. Utan det kan ni inte visa efterlevnad.
  • Regelbunden uppföljning av era lagringstider är inte valfritt. Affärsbehov förändras och era rutiner måste hänga med.
  • Kostnaden för att spara för länge är dubbel: dels risken för sanktioner, dels den ökade exponeringen vid eventuella dataintrångshändelser.

Det handlar ytterst om att behandla personuppgifter med respekt för de individer de tillhör. Det är inte bara ett lagkrav. Det är en del av att driva en seriös verksamhet.

Min erfarenhet av lagringstider i praktiken

Under åren jag arbetat med dataskyddsfrågor i svenska organisationer är det ett mönster som återkommer: gapet mellan vad policyn säger och vad som faktiskt händer i systemen.

Jag har sett organisationer som hade välskrivna gallringsrutiner i ett Word-dokument. Men ingen hade någonsin tillämpat dem. Data som enligt policyn skulle ha gallrats efter 12 månader hade legat kvar i fem år. Det är inte ovanligt. Det är faktiskt normen.

Det jag lärt mig är att lagringsminimering fungerar bara om det är inbyggt i arbetsflödet, inte om det är en policy som läses en gång och glöms. När gallring kräver ett aktivt manuellt beslut varje gång, sker det sällan. När det är automatiserat eller schemalagt, sker det alltid.

En annan sak jag ofta ser underskattas är mejlhanteringen. Chefer och medarbetare sparar mejl i decennier utan att tänka på att varje konversation kan innehålla personuppgifter om kunder, kandidater och kollegor. Det är ett område där många organisationer har en stor oupptäckt GDPR-exponering.

Min övertygelse är att framtidens compliance inte handlar om att skriva bättre policyer. Det handlar om att bygga system och rutiner där rätt beteende är det enklaste beteendet. Där lagringsminimering sker per automatik, inte tack vare någons goda minne.

— Jesper

Få kontroll på era lagringstider med Trustview

Att dokumentera och följa upp lagringstider för varje behandling i organisationen är tidskrävande om det görs manuellt. Trustview är en compliance-plattform som samlar era behandlingsregister, gallringsrutiner och ansvarsfördelning på ett ställe, och gör det möjligt att följa upp efterlevnad löpande utan att administrativa bördor tar över.

https://trustview.se

Med Trustview kan ni koppla lagringstider direkt till behandlingarnas ändamål, tilldela ansvar och få automatiserade påminnelser när det är dags för gallring. Om ni vill förstå hur ett mer strukturerat dataskyddsarbete ser ut i praktiken är Trustviews guide om fullständig GDPR-efterlevnad ett bra nästa steg. För er som vill börja med en konkret plan finns också en steg-för-steg-guide för att upprätta en åtgärdsplan för compliance.

FAQ

Hur länge får man spara personuppgifter enligt GDPR?

Det finns ingen fast tidsgräns i GDPR. Personuppgifter får sparas så länge det finns ett dokumenterat och legitimt ändamål med behandlingen. Så snart ändamålet är uppfyllt ska uppgifterna raderas eller anonymiseras.

Vad gäller för CV och ansökningshandlingar?

Ansökningshandlingar kan normalt sparas i upp till 24 månader efter avslutad rekrytering, förutsatt att kandidaten lämnat samtycke eller att det finns ett dokumenterat berättigat intresse. Utan det bör gallring ske direkt efter att rekryteringsprocessen avslutats.

Hur länge får kameramaterial lagras?

IMY rekommenderar en tumregel på ca 3 dygn för lagring av kamerabevakningsmaterial. Längre lagring är möjlig men kräver en tydlig och dokumenterad motivering, exempelvis vid misstanke om brott.

Ger berättigat intresse rätt att spara personuppgifter obegränsat?

Nej. Berättigat intresse är en rättslig grund som motiverar att behandlingen får ske, men den bestämmer inte lagringstiden. Organisationen måste separat definiera och dokumentera hur länge data sparas och varför den tidsperioden är nödvändig.

Vad händer om man sparar personuppgifter längre än tillåtet?

Att lagra personuppgifter längre än ändamålet kräver är ett brott mot GDPR:s princip om lagringsminimering. Det kan leda till tillsynsåtgärder och böter från IMY, och ökar dessutom organisationens exponering vid eventuella dataintrång.

Rekommendation

Mer att upptäcka

En kvinna sitter vid sitt skrivbord och jobbar på datorn i ett öppet kontorslandskap.
Akademi
Hur länge får man spara personuppgifter enligt GDPR?
Funderar du på hur länge får man spara personuppgifter? Läs vår artikel för att förstå GDPR:s regler och få praktiska…
Läs mer
maj 30, 2026
IT-ansvarig går igenom övervakningsbilder på kontoret
Akademi
Kameraövervakning och GDPR: guide för arbetsplatser
Kameraövervakning och GDPR: Lär dig de rättsliga krav och rutiner som skyddar ditt företag från böter och säkerställer korrekt hantering.
Läs mer
maj 29, 2026
En kvinna sitter och jobbar vid datorn i ett ljust kontorshörn.
Akademi
GDPR och AI: får företag använda ChatGPT på jobbet?
Få kloka insikter om GDPR och AI: får företag använda ChatGPT på jobbet? Lär dig säkerhet och laglighet för AI-användning…
Läs mer
maj 28, 2026
Compliance with less effort

Upptäck mer inom området

TrustView kostnadsfritt i 30 dagar!

Compliance är inget du måste älska, men det är något som måste bli gjort. Testa kostnadsfritt innan du bestämmer dig!

Detta fält är dolt när formuläret visas